Apple iOS: Malware „YiSpecter“ attackiert auch Geräte ohne Jailbreak
Mitarbeiter der Palo Alto Networks haben eine neue Malware für Geräte mit dem Apple iOS entdeckt. „YiSpecter“ getauft, unterscheidet sich der Schädling darin von anderen Vertretern, dass er nicht nur Geräte mit Jailbreak, sondern auch Gadgets ohne jene Freischaltung attackieren kann. Es handelt sich laut Palo Alto Networks um die erste iOS-Malware, die Private-APIs im iOS-System missbraucht. Bisher kann man hierzulande zumindest beruhigen, dass YiSpecter in erster Linie iOS-Nutzer in China und Taiwan betrifft.
Der Schädling verbreitet sich auf eher ungewöhnliche Weise, etwa über einen SNS-Wurm unter Windows oder einer Offline-App-Installation. Aktiv ist die Malware offenbar bereits seit ca. 10 Monaten – allerdings erkennen die meisten Virenscanner YiSpecter schlichtweg nicht. Vielleicht liegt es daran, dass sich die Malware über vier verschiedene Bestandteile tarnt, die alle mit Enterprise-Zertifikaten ausgestattet sind. Über private APIs laden und installieren sich die Komponenten dann gegenseitig. Drei der schädlichen Bestandteile verstecken über Tricks ihre Symbole vor dem iOS SpringBoard. Das erschwert es natürlich Nutzern die Infektion überhaupt zu entdecken bzw. die Dateien zu finden und zu löschen.
Zusätzlich nutzt YiSpecter für seine Dateien die Namen und Logos von iOS-System-Apps, um auch Power-Usern nicht aufzufallen. Hat die Malware ein System infiziert, kann sie weitere iOS-Apps installieren und starten, bestehende Apps gegen schädliche austauschen und beispielsweise in anderen Apps Werbung einblenden oder in Safari die Standard-Suchmaschine verändern. In Safari kann YiSpecter zudem Lesezeichen manipulieren und geöffnete Sites verstellen sowie auch noch Informationen an einen Server weitertratschen. Leider ist YiSpecter ziemlich hartnäckig und kann selbst nach dem Löschen erneut auftauchen.
In China hat sich YiSpecter vor allem dank der Gier der User nach kostenlosen Pornos verbreitet: So posierten Bestandteile des Schädlings als der Mediaplayer „QVOD“, der in China beliebt zum Ansehen und Teilen nackter Tatsachen ist. Die Original-App bzw. der Dienst wurde in China bereits eingestellt. Das nutzten die Köpfe hinter YiSpecter aus, um als neue „Version 5.0“ von QVOD die Runde zu machen. Auch über DNS-Hijacking, also schädlichen JavaScript- oder HTML-Code, sucht sich YiSpecter allerdings seine Wege und gibt sich für andere Apps aus.
Alternativ haben die Macher von YiSpecter Offline-Installationen forciert und dafür Prämien ausgeschrieben. In einigen Communities bewarb man die Malware zudem als QVOD-Player-Ersatz und wollte so naive Nutzer direkt ködern. Geschickt ist der Missbrauch von Enterprise-Zertifikaten, welche auf die Unternehmen „“Changzhou Wangyi Information Technology Co., Ltd.” sowie “Baiwochuangxiang Technology Co., Ltd.” und “Beijing Yingmob Interaction Technology co, .ltd“ zugelassen sind. Das erlaubt z. B. in Firmen auch die In-House-Verteilung. Auf diese Weise kann man Apples Review-Prozeduren umgehen. Nachteil für die Malware: Betroffene User erhalten zumindest einmal bei der Installation einen Warnhinweis.
YiSpecter sucht dabei im Hintergrund auch nach Updates und kann einzelne, gelöschte Komponenten insgeheim neu auf infizierte Geräte schaufeln. Deswegen ist es schwierig, die Malware komplett loszuwerden. Geld verdienen die Macher durch die Einblendung eigener Werbeanzeigen, die Umleitung von Usern auf bestimmte Websites und die Installation weiterer Apps. Zudem sammelt und übermittelt YiSpecter Daten an einen C2-Server zu anderen, installierten iOS-Apps, laufenden Prozessen, der UUID eines Geräts sowie der individuellen MAC-Adresse.
Hinter YiSpecter steckt offenbar eine Firma namens „YingMob Interaction“. Offiziell handelt es sich dabei um eine Plattform für mobile Werbung – was zu den Funktionen und Monetarisierungen der Malware passt. YiSpecter zeigt, dass die Zeiten vorbei sind, in denen nur iOS-Geräte mit Jailbreak durch Malware gefährdet waren. Apple ist übrigens durch Palo Alto Networks bereits informiert, damit der Konzern zumindest die missbrauchten Enterprise-Zertifikate zurückziehen kann.
Um Malware wie YiSpecter auszuweichen, empfiehlt sich grob keine iOS-Apps aus nicht vertrauenswürdigen Quellen herunterzuladen und unbekannten Entwicklern keinen Glauben zu schenken. Beachtenswert ist allerdings an YiSpecter vor allen, dass die Malware einen aggressiven Rundumschlag gegen alle iOS-Geräte ausführt – nicht nur solche mit Jailbreak.
Update von Carsten Knobloch: Ein Sprecher von Apple bestätigte, dass die Lücke mit iOS 8.4 geschlossen wurde.
Naja, war ja zu erwarten. Mit dem Erfolg wird die Plattform interessant. Ich wünschte, WebOS hätte die Chance bekommen, interessant zu werden…
Was mich interessieren würde: werden wenigstens App-Berechtigungen korrekt abgefragt? Wenn ja: nur bei der Erst-Installation oder bei allen Folgeinstallationen? Wahrscheinlich ist das aber nicht der Fall, wenn ich den Beitrag richtig verstanden habe – und das wäre dann doch bemerkenswert.
Diese Gefahr existierte doch schon immer, wenn man mittels Enterprise Zertifikate installiert hat. Was ist daran neu?
Neu ist soweit ich das sehe die Kombination von mehreren Enterprise Zertifikaten und „inoffiziellen“ APIs, vermutlich um so unter dem „Radar“ zu bleiben – was ja anscheinend auch geklappt hat. Installieren muss man sich aber immer noch mindestens eine der Apps inkl. Warndialog selber.
Unter iOS9 ist das nicht mehr so einfach, soweit ich das gelesen habe – hier muss mann dann mehrere Schritte durchlaufen.
Ja, aber das ändert ja nicht wirklich etwas an der Ausgangslage. Ist ja keine Kunst, private APIs zu verwenden. Gab’s schon öfters im App Store. Apple sieht das nur nicht gerne und entfernt solche Apps meist recht schnell aus dem Store. Installiert werden solche Enterprise-Apps nach wie vor genau gleich von Herr oder Frau Risiko vor dem Smartphone-Screen. Das war vor dieser Maleware möglich und wird auch zukünftig möglich sein. Sehe den Neuigkeitswert dieser Meldung immer noch nicht.
@ The_Doctor Laut Palo Alto Networks ist YiSpecter die erste Malware, die auch iOS-Geräte ohne Jailbreak über die privaten APIs infizieren kann. Du kannst ja nochmal den Original-Artikel scannen – der ist ellenlang und enthält noch viel mehr Einzelheiten, die ich hier stark komprimiert habe zur besseren Lesbarkeit.
@The_Doctor
Die Neuigkeit an der News dürfte in der App und deren Vorgehensweise im Detail liegen. Nur weil bestimmte Mechanismen bereits länger genutzt werden können, muss das ja nicht heißen, dass neue Player am Markt deshalb unbeachtet bleiben können. So sehe ich das jedenfalls. Sollte man also positiv betrachten, wenn drüber berichtet wird.
Wird sicher noch weiter zunehmen. So uninteressant scheint iOS also nicht mehr zu sein, als potentielles Ziel für Entwickler von Schadsoftware. War ja eigentlich auch nur eine Frage der Zeit.
Da war sicher Android auf den betroffenen Apple-Geräten installiert.
Anders ist das bei diesen perfekten und sicheren Gerätschaften nicht erklärbar.
@André @icancompute
Danke, werde den Original-Artikel mal etwas genauer anschauen.
@Yann,
was genau meinst du? Hast du zufällig einen Link dazu?
@icancompute: Oder sie sind schon länger aktiv und fliegen jetzt nach mehreren aktiven Jahren auf. Es gab schon häufiger Fälle wo eine Schadsoftware Demo im AppStore war und erst entdeckt wurde als der Autor es gemeldet hat. Die Bösen melden ihren Code nur nicht und externe Kontrollen sind kaum möglich. Da kann sich also noch wirklich viel Schadsoftware bei iOS im Store tummeln.
wer auf einer dubiosen webseite einen link zb. zu einer porno-app anklickt und diese dann runterlädt ohne zu merken, dass das nicht über den appstore passiert, der ist auch selber schuld.
wie auch in diesem fall, ist es mehr oder weniger nur eine theoretische bedrohung, weil apple die zertifikate recht schnell deaktivert hat und zudem soll das unter iOS 9 angeblich nicht mehr möglich sein. zudem sind auch hier wieder nur bestimmte user betroffen (in asien, dubiose webseiten besucht, etc)
aber so ähnlich war es auch mit den lücken der vergangenen wochen… bei bekanntwerden der lücke, war es mit der akuellen iOS version schon keine gefahr mehr bzw. die gefahr wurde irgendwie anders schnell abgestellt.
es bleibt aber dabei. iOS ist sehr sehr sicher und das hier ist eine weitere randerscheinung, die nur wenige nutzer schaden wird. 100%ige sicherheit gibts nicht, aber 99,x%
@HO: Wir wissen ja, dass du für Apple als Verkäufer gearbeitet hast. Und immer versuchst, jedes Problem von Apple herunterzuspielen oder schönzureden. Aber offensichtlich hast du noch nicht mal kapiert, worum es hier eigentlich geht.
@Yann,
danke, sehr interessant.
Ansonsten schließe ich mich HO und Hans an.
Wer sich ein bisschen mit der Materie beschäftigt wird schnell sehen, dass das die gängige Ansicht ist. Da das abhängig von der Architektur ist macht das auch Sinn: Die Macher von Android haben es ein bisschen verschlafen, da für Ordnung zu sorgen. Und jetzt ist es schwierig, das nachzuholen.
„Mittlerweile muss eben auch der iOS Nutzer sein Gehirn benutzen.“
Dann seh ich für die Sicherheit auf Apple-Geräten allerdings schwarz.
@Bruce;
Ja, weil ja die Apple Nutzer so dumm sind… Wer so einen Quatsch redet, hat sie einfach nicht mehr alle.
Mal davon abgesehen, wird der Normalo auch kaum auf chinesischen Websites surfen und dann mehrmals bestätigen, dass er diese nicht zertifizierte App aus einer unbekannten Quelle laden möchte. Von selbst installiert sich da nämlich nichts. Der User muss das entgegen mehrerer Warnungen bewusst zulassen.
@Erik;
Witzig! Solche Studien sind zwar eher unsinnig aber wenn man wissen möchte, wer eigentlich mit einem im Boot sitzt, ist es ganz interessant. „Dümmer“ ist der iOS User im Schnitt sicher nicht.
„Der Schädling verbreitet sich auf eher ungewöhnliche Weise, etwa über einen SNS-Wurm unter Windows oder einer Offline-App-Installation.“
Was ist ein SNS-Wurm, und wie installiert ein gewöhnlicher Nutzer bei IOS die Apps offline? Wird hier nicht wieder (genau wie übrigens bei Android) eine gewaltige Drohkulisse zum Bangemachen der Nutzer aufgebaut, obwohl sie nie von diesem Problem betroffen sein werden? Und warum erklären Artikelschreiber nicht auf für Laien nachvollziehbare Weise, wie man es vermeidet?
Fragen über Fragen, die wie immer unbeantwortet bleiben.
@wollid
SNS = Social Networking Service
Attackenvektor im Klartext: ein Windows-PC ist mit einem Wurm infiziert der Nachrichten oder Posts modifiziert, die Kontaktliste ausspäht, etc.
Unter anderem schnappt sich der Wurm (Lingdun) die Kontakte von QQ (populärer Instant Messenger in Asien) und verschickt Links zur Pornoseite (QVOD). Der Anwender besucht die Seite und wird gefragt, ob er die Porno-App installieren will. Auf iOS bekommt er eine Warnmeldung wegen der unsicheren Quelle. Mann muss einem Enterprise-Zertifikat zustimmen (https://support.apple.com/de-de/HT204460). Die App läuft dann bis Apple das Zertifikat deaktiviert.
Auf dem gleichen Weg infiziert der Wurm Android-Geräte (was hier mit keiner Silbe erwähnt wird).
Fazit für Laien: installiere Apps aus dem App Store und nicht aus irgend einer dubiosen Quelle. Schon gar nicht wenn es eine asiatische Webseite ist die dir Pornos für Lau verspricht.
Gefahren wie diese sind der Auslöser für die Rootless-Initiative in iOS 9 und OS X El Capitan. Weiss nicht ob hier darüber berichtet wurde.
@Kalle
Vielen Dank!